Сообщений в теме: 6

[msokolov]

Здравствуйте.

Коллеги, подскажите пожалуйста новичку.

 

Какие могут быть последствия, если на сайте не использовать подтверждение регистрации через e-mail?

 

Существует один ресурс, на котором после заполнения формы регистрации будущий пользователь должен получить письмо в котором будет ссылка для подтверждения регистрации.

Допустим есть один баг, который позволяет не проходить процедуру подтверждения.

В результате, можно зарегистрировать аккаунт на несуществующий e-mail (например pew@pew.pew).

В итоге мы получаем несуществующий e-mail в базе и возможность создать в БД неограниченное число пользователей (так как шаг подтверждения регистрации мы пропускаем).

Вопрос: какие могут быть последствия у такого бага?

Я предполагаю, что таким образом можно сильно засорить БД, что в последствии повлечет за собой снижение скорости работы сайта или полное выведение его из строя.

Верно ли мое предположение и какие замечания по данному багу могут быть еще?

[VinnieJohns]

Проверка на то, существует ли емейл на самом деле - штука почти невозможная. Описанный баг может компенсироваться, например, ограниченным сроком жизни "неподтверждённого" аккаунта в базе. Ограниченным сроком жизни для неиспользуемых аккаунтов. И\или капчей, чтобы создание достаточно большого количества записей было затруднительным.

 

Из описания, кстати, непонятно - можно иметь активный аккаунт на pew@pew.pew или просто создать запись в базе о попытке регистрации с такого ящика (неподтверждённая регистрация)?

 

Ожидаемый результат, кстати, какой?

[msokolov]

Проверка на то, существует ли емейл на самом деле - штука почти невозможная. Описанный баг может компенсироваться, например, ограниченным сроком жизни "неподтверждённого" аккаунта в базе. Ограниченным сроком жизни для неиспользуемых аккаунтов. И\или капчей, чтобы создание достаточно большого количества записей было затруднительным.

 

Из описания, кстати, непонятно - можно иметь активный аккаунт на pew@pew.pew или просто создать запись в базе о попытке регистрации с такого ящика (неподтверждённая регистрация)?

 

Ожидаемый результат, кстати, какой?

Дело в том, что этот баг как раз и создает подтвержденную запись в БД, только при этом пропуская сам шаг подтверждения.

 

Ожидаемый результат: Пользователь не может залогиниться на сайт, пока не перейдет по ссылке из письма.

Фактический результат: Пользователь не подтверждает регистрацию, и при этом может логиниться, при этом в БД создается полностью валидная, подтвержденная запись. Т.е. pew@pew.pew может иметь активный аккаунт.

[baranceva]

На этом форуме, если пользователь не пройдет по ссылке из письма, то его аккаунт через неделю удаляется, но одну неделю он может пользоваться форумом, как зарегистрированный пользователь.

 

Т.е. база каждую неделю очищается, а пользователи (если это реальные пользователи) пишут в техподдержку жалобы, что не могут попасть на форум.

[Molechka]

Здравствуйте.

Коллеги, подскажите пожалуйста новичку.

 

Какие могут быть последствия, если на сайте не использовать подтверждение регистрации через e-mail?

 

Существует один ресурс, на котором после заполнения формы регистрации будущий пользователь должен получить письмо в котором будет ссылка для подтверждения регистрации.

Допустим есть один баг, который позволяет не проходить процедуру подтверждения.

В результате, можно зарегистрировать аккаунт на несуществующий e-mail (например pew@pew.pew).

В итоге мы получаем несуществующий e-mail в базе и возможность создать в БД неограниченное число пользователей (так как шаг подтверждения регистрации мы пропускаем).

Вопрос: какие могут быть последствия у такого бага?

Я предполагаю, что таким образом можно сильно засорить БД, что в последствии повлечет за собой снижение скорости работы сайта или полное выведение его из строя.

Верно ли мое предположение и какие замечания по данному багу могут быть еще?

 

Помните о том, что баг — это всегда проблема.

 

У кого возникает проблема в том, что в базе появляется несуществующий емейл?

Вы общаетесь с пользователями по эл. почте?

 

Если есть общение по эл почте и пользователей много, то рассылки писем идут из аналога mailchimp, а это платный инструмент. Зачем платить за рассылку на заведомо несуществующий адрес? Проблема...

Или вы отправляете важную информацию по эл. почте, пользователь ошибется при ее регистрации, но не заметит. А потом прибежит к вам, полный возмущения: "Где мои документы?!". Проблема...

Или у вас форум, на котором каждый день регистрируется N человек. Причем некоторые — однодневки, придут и уйдут. А базу засоряют, а база занимает место, за нее надо платить... Проблема...

 

А если проблем нет, то зачем вообще делать двойное подтверждение?

[xgroverx]

Здравствуйте! Может кто сталкивались с таким вопросом:
-запускаем десктопное приложение
-сворачиваем окно
-запускаем приложение еще раз.
возможные результаты:
1.приложение запустилось(новый процесс) параллельно еще раз в новом окне(напр. notepad).
2.появилось сообщение что приложение уже работает(напр. testcomplete)
3.открытие свернутого окна и переход в уже запущенное приложение(напр.skype)

 

Существует ли стандарт где регламентированы данные варианты запуска приложений? И если существует, то может подскажете его?

[Dalay_LAMO]

Существует ли стандарт где регламентированы данные варианты запуска приложений? И если существует, то может подскажете его?

Непонятно почему в этой теме вопрос, но ответ на него - нет никакого стандарта - поведение определяется бизнес-логикой.
P.S. и по сути результатов всего 2 - либо запускается второй экземпляр программы, либо не запускается (а 2 и 3 - это подварианты реализации).